PT-2022-14083 · WordPress · Wpmk Ajax Finder
Tsutomu Aramaki
·
Publicado
2022-06-13
·
Atualizado
2026-04-08
·
CVE-2022-1749
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do plugin WPMK Ajax Finder para WordPress até a versão 1.0.1, inclusive
Descrição
O problema está relacionado à falsificação de solicitação entre sites (Cross-Site Request Forgery), que ocorre devido à falta de uma verificação de nonce na função
createplugin atf admin setting page(), encontrada no arquivo ~/inc/config/create-plugin-config.php. Isso permite que invasores injetem scripts web arbitrários.Recomendações
Para versões até e incluindo a 1.0.1, considere desativar a função
createplugin atf admin setting page() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao arquivo ~/inc/config/create-plugin-config.php para minimizar o risco de injeção de scripts web arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wpmk Ajax Finder